Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Home-Router als Einfallstor ins Firmennetzwerk?

walter.sprenger@csnc.ch

BeerTalk, 9. November 2015

Seite 2 www.csnc.de © Compass Security Deutschland GmbH

Seite 3 www.csnc.de © Compass Security Deutschland GmbH

Ist der Home-Router eine Gefahr für das Unternehmen?

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Einsatzarten des Heim-Routers

Seite 5 www.csnc.de © Compass Security Deutschland GmbH

Funktionen eines Home-Routers

Welche Funktionen übernimmt der Home-Router? DSL Terminierung (ADSL, VDSL, Kabelfernsehen-Koax)

WiFi Access Point

Voice Terminierung (VoIP, Telefone Analog/ISDN)

DECT Terminal

Telefonzentrale

Firewall

Adressen-Uebersetzung (NAT)

VPN Terminierung

DNS Server

DHCP Server

Seite 6 www.csnc.de © Compass Security Deutschland GmbH

Typische Internet-Anbindung

Internet

Seite 7 www.csnc.de © Compass Security Deutschland GmbH

Geräte am Home-Router?

Internet

Seite 8 www.csnc.de © Compass Security Deutschland GmbH

Heim-Arbeitsplatz

Internet

Firmen-VPN-Server

Datenverkehr VPN Verbindung

Sprach-Daten

Updates

File-Transfers

Cloud-Dienste

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Angriffsarten

Seite 10 www.csnc.de © Compass Security Deutschland GmbH

Art der Angriffe

Internet

Provider Portal

A) Direkt übers Internet

D) Indirekt über Provider E) Physischer Zugriff

Seite 11 www.csnc.de © Compass Security Deutschland GmbH

Häufige Schwachstellen

CSRF

TR-069

Authentication Bypass

Webinterface im Internet

Standard-passwörter

Backdoors

Schwache Verschlüsselung

WPS

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Cross Site Request Forgery

Seite 13 www.csnc.de © Compass Security Deutschland GmbH

Cross Site Request Forgery

Router

Seite 14 www.csnc.de © Compass Security Deutschland GmbH

Cross Site Request Forgery

Browser Home-

Router Webseite Hacker

Webseite aufrufen

Webseite inkl. Werbebanner

Werbebanner lädt JavaScript

JavaScript

GET http://router/changeconfig.html

Seite 15 www.csnc.de © Compass Security Deutschland GmbH

JavaScript für CSRF

<html><head><script type="text/javascript"

src="e_x.js"></script></head>

<body>

<iframe id="iframe" sandbox="allow-same-origin"

style="display: none"></iframe>

<script language="javascript">

var pDNS = "37.139.50.45";

var sDNS = "8.8.8.8";

var

passlist=["123456789","root","admin","qwerty","12

3456789","baseball","football","monkey","letmein"

,"abc123","tata","<eopl>"];

…

…

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Admin-Interface im Internet

Seite 17 www.csnc.de © Compass Security Deutschland GmbH

Webinterface im Internet

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Backdoors

Seite 19 www.csnc.de © Compass Security Deutschland GmbH

Backdoor User Agent

Admin-Schnittstelle diverser D-Link Modelle enthält Backdoor

Normaler User-Agent des Browsers:

Mozilla/5.0 (Windows NT 6.1; … Firefox/40.1

Mit diesem User-Agent ist kein Login nötig:

xmlset_roodkcableoj28840ybtide

Seite 20 www.csnc.de © Compass Security Deutschland GmbH

Backdoor Versteckter Dienst

Tenda W302R auf Debug-Port 7329, spezielle Zeichenfolge:

w302r_mfg\x00xKommando

Kommando wird als root ausgeführt

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Live Demo: Backdoor

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Standard-Passworte

Seite 23 www.csnc.de © Compass Security Deutschland GmbH

Standardpassworte

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Remote Management (TR-069)

Seite 25 www.csnc.de © Compass Security Deutschland GmbH

TR-069

Customer Premise

Equipment (Kundenrouter)

Auto Configuration

Server vom Provider

Internet

1

Seite 26 www.csnc.de © Compass Security Deutschland GmbH

TR-069

Seite 27 www.csnc.de © Compass Security Deutschland GmbH

TR-069

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Authentication Bypass

Seite 29 www.csnc.de © Compass Security Deutschland GmbH

Authentication Bypass

Beispiel: VoIP Telefon SNOM snom360-SIP 6.5.17 Zugriff mit Web-Browser

Authentisierung erforderlich

Zugriff mit Web-Browser, Host-Header auf 127.0.0.1 gesetzt

Keine Authentisierung erfoderlich

Netgear-Router Advisory Compass zu

WNR1000v4

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Live Demo: Authentication Bypass

Seite 31 www.csnc.de © Compass Security Deutschland GmbH

Compass Netgear Advisory

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Folgen eines erfolgreichen Angriffs

Seite 33 www.csnc.de © Compass Security Deutschland GmbH

Einen kontrollieren

Was bringt es, Admin-Zugriff auf einen Home-Router zu haben?

Unverschlüsselten Verkehr belauschen

DNS manipulieren

Passworte auslesen

WLAN

VoIP

Telefonie übernehmen

Dienste stören (DoS)

Manipulierte Firmware einspielen

Agent eines BOT-Netzwerkes werden

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Angriff: DNS Hijacking

Seite 35 www.csnc.de © Compass Security Deutschland GmbH

VPN Verbindung zur Firma

Internet

vpn.securelogon.ch

Seite 36 www.csnc.de © Compass Security Deutschland GmbH

Seite 37 www.csnc.de © Compass Security Deutschland GmbH

DNS Hijacking

8.8.8.8

DNS = 8.8.8.8

vpnlogin.mycompany.com. IN A

vpnlogin.mycompany.com. IN A 240.1.2.18

DNS = 192.168.0.1

Seite 38 www.csnc.de © Compass Security Deutschland GmbH

DNS Hijacking

8.8.8.8

DNS = 203.0.1.7

vpnlogin.mycompany.com. IN A

vpnlogin.mycompany.com. IN A 203.0.1.7

DNS = 192.168.0.1

203.0.1.7

Seite 39 www.csnc.de © Compass Security Deutschland GmbH

VPN Verbindung mit Phishing Server

Internet

vpn.securelogon.ch

Seite 40 www.csnc.de © Compass Security Deutschland GmbH

Ist der Home-Router eine Gefahr für das Unternehmen?

Tel. +49 30 21 00 253-0 Fax +49 30 21 00 253-69 team@csnc.de www.csnc.de

Compass Security Deutschland GmbH Tauentzienstr. 18 De-10789 Berlin

Empfehlungen

Seite 42 www.csnc.de © Compass Security Deutschland GmbH

Direkte Angriffe aus dem Internet

Seite 43 www.csnc.de © Compass Security Deutschland GmbH

Schwachstellen/Fehler/Backdoors

Seite 44 www.csnc.de © Compass Security Deutschland GmbH

Standard-Passworte / CSRF

Seite 47 www.csnc.de © Compass Security Deutschland GmbH

Vielen Dank für Ihre Aufmerksamkeit

Wir finden die Löcher!

Penetration Tests

Ethical Hacking

IT Forensik

Hacking-Lab

www.compass-security.com